Com as cifras milionárias que os criminosos cibernéticos têm obtido com suas ações, cooptar funcionários dentro das empresas por meio de suborno se tornou uma opção viável para obter acesso às redes corporativas. Os criminosos, infelizmente, têm dinheiro para "investir" nesse método.

Por esta razão, é indispensável que as empresas entendam essa ameaça, por que os criminosos se interessam em cooptar "insiders", e como eles utilizam os privilégios adquiridos através deles. 

Vamos começar pela definição da ameaça interna (Insider threat) para depois explorar por que os colaboradores são aliciados pelos hackers e o que pode ser feito para mitigar os riscos.

Definindo o Insider Threat

É possível entender a ameaça interna como uma ação proposital de um agente privilegiado interno, seja ele um colaborador direto ou um terceiro que recebeu permissões de acesso.

Contudo, definições mais aceitas de ameaça interna incluem também situações em que houve negligência ou descuidado acidental e inconsciente do colaborador. Um documento recente do Departamento de Defesa dos Estados Unidos (PDF) trouxe justamente essa definição, que enxerga o colaborador dentro de todo o seu contexto humano.

Dentro desse escopo mais amplo, uma ameaça interna pode se manifestar quando um colaborador possui problemas pessoais ou familiares, incluindo dificuldades financeiras, vícios, problemas de saúde e falta de treinamento adequado.

Ainda que as empresas possam modelar os riscos vinculados a ameaças internas da maneira que enxergam como a mais adequada em seu contexto, cabe apontar que a diferença entre essas duas perspectivas não é tão distante quanto parece.

Um colaborador que age de má-fé pode se valer das deficiências no treinamento para criar uma situação falsa em que ele "cai" em um golpe planejado pelos hackers que o cooptaram. Nesse cenário, pode ser difícil diferenciar um caso de negligência de uma ação proposital. Quem utiliza uma definição mais estrita de ameaça interna pode acabar não categorizando esse incidente da forma correta.

Para que um colaborador comprometa a rede corporativa, muitas vezes basta instalar um software de Remote Monitoring & Management (RMM), que permite controlar o sistema a partir de outro computador. As etapas para realizar essa instalação podem ser comunicadas por um atacante que se passa pelo departamento de TI da empresa ou outro profissional, criando um cenário que, a princípio, elimina o usuário interno como um comp

Além disso, dificuldades pessoais e familiares podem aumentar as chances de que um colaborador decida cooperar com invasores. Em paralelo, um treinamento que ajude os colaboradores a entenderem as políticas e mecanismos que existem para detectar e punir quem age de má-fé pode reduzir o interesse do colaborador em fazer algum acordo com um invasor externo.

Se o colaborador não compreende que esse tipo de atitude pode prejudicar todos os stakeholders da empresa (inclusive ele próprio), é mais provável que ele ceda à pressão dos aliciadores.

Quem os criminosos buscam?

O Departamento de Justiça dos Estados Unidos recentemente anunciou o indiciamento de funcionários das empresas DigitalMint e Sygnia sob a alegação de que eles colaboraram com gangues de ransomware. Os profissionais não atuaram diretamente contra seus empregadores, mas prejudicaram clientes e outras empresas usando os privilégios que tinham para disseminar códigos maliciosos ou favorecer os criminosos ao invés de eliminar a ameaça das redes corporativas.

Esse caso traz uma lição importante sobre o perfil das pessoas procuradas pelos hackers. Muitas vezes, o alvo não é a empresa que emprega o colaborador. Isso explica por que os criminosos frequentemente procuram cúmplices com base na função que exercem, independentemente da empresa para qual trabalham.

Mensagem interceptada através do monitoramento de deep e dark web da Axur.

É possível entender por que isso acontece e o que os criminosos procuram em cada colaborador:

Técnicos da área de TI: Quem trabalha no departamento de TI tem acesso a diversos sistemas e detém informações privilegiadas sobre a arquitetura da rede da empresa ou de clientes que ela atende (caso seja uma prestadora de serviços).

Mesmo que uma empresa não seja um alvo de interesse dos criminosos nem esteja conectada a esses alvos, técnicos de TI podem fornecer infraestrutura (como servidores) para auxiliar os criminosos em suas operações. Por este motivo, esses profissionais são bastante visados.

Gerentes de área e contas em instituições financeiras: É fácil ter alguma noção do motivo por trás do interesse dos criminosos em aliciar colaboradores de instituições financeiras, mas nem sempre é possível imaginar tudo que que os criminosos buscam com esse acesso.

Nem sempre a ideia é apenas transferir o dinheiro dos clientes. Às vezes, o objetivo é facilitar a criação de contas falsas (laranjas) ou o acesso a contas de pessoas jurídicas para receber o dinheiro roubado de outras contas. Pode ser mais difícil comprovar a atuação irregular dos colaboradores nestes casos, já que um "erro" que passou despercebido na documentação pode também ocorrer por descuidos acidentais.

No caso de corretoras de criptomoedas, elas frequentemente são o destino do dinheiro roubado para a lavagem de dinheiro. Depois que os recursos se misturam a outras criptomoedas, pode ser bastante difícil recuperar o que foi roubado.

Telemarketing e serviços: Prestadores de serviços possuem acesso a sistemas ou dados de clientes que podem ser úteis para hackers e golpistas. Centros de atendimento para público externo e interno, provedores de serviços gerenciados (MSPs) e às vezes até empresas terceirizadas para limpeza ou manutenção podem ter um nível de acesso útil para os criminosos.

Empresas de tecnologia também entram nessa lista, tanto pela capacidade de viabilizar acesso externo (como no caso de funcionários de TI) como pela possibilidade de sabotar soluções de segurança ou de proteção contra fraude.

Um exemplo recente desta natureza aconteceu no chamado "ataque ao Pix", em que um técnico de uma empresa responsável pela infraestrutura de conexão ao Banco Central do Brasil foi procurado pelos criminosos para vender sua senha e informações sobre o sistema. Os criminosos conseguiram movimentar o saldo das contas mantidas pelas instituições financeiras no Banco Central, provocando um incidente de grande escala.

Governo: Funcionários públicos podem ser muito valiosos para os criminosos. Muitas vezes, eles podem consultar dados pessoais para facilitar fraudes, aprovar documentações falsas (inclusive certificados digitais) ou vazar dados de empresas que passam por sistemas governamentais, como no caso de notas fiscais.

Além disso, a infraestrutura de TI do governo frequentemente é tida como confiável por sistemas de segurança. Portanto, a possibilidade de usar sistemas do governo para receber dados vazados ou disseminar malware é ainda mais interessante para os criminosos.

Milhões em prejuízo: os números do Insider Threat

De acordo com um relatório do Ponemon Institute, as ameaças internas geram, em média, um custo anual de US$ 17,4 milhões para as empresas. Esse é o dobro do valor apurado em 2018, de US$ 8,3 milhões.

Segundo o Data Breach Investigations Report (DBIR) da Verizon de 2025, 65% dos incidentes envolvendo ameaças internas resultam de algum tipo de negligência do colaborador, enquanto 31% dos incidentes decorrem de ações propositais do colaborador.

Por fim, o 2025 Insider Risk Report da Fortinet e da Cybersecurity Insiders aponta que 77% das organizações tiveram alguma perda de dados resultante de uma ameaça interna no período de 18 meses anterior à pesquisa, e 21% delas teve mais de 20 incidentes dessa categoria no mesmo período.

Assim como o DBIR, a pesquisa da Cybersecurity Leaders também revelou que 62% dos incidentes resultam de um erro humano ou uma conta comprometida.

Monitoramento e inteligência

Quanto mais colaboradores uma empresa possui, mais difícil é o direcionamento das ações que podem mitigar os incidentes internos.

Para superar esse desafio, é preciso monitorar a ação dos criminosos de modo a compreender seus alvos e métodos. Com esse conhecimento, é possível elaborar ações e estratégias que mitiguem o risco de forma efetiva.

A Axur conta com uma série de soluções para monitorar a ação dos criminosos, coletando inteligência em ameaças cibernéticas que dão visibilidade sobre ameaças direcionadas além de perspectivas gerais e setoriais. Fale com nossos especialistas para saber mais.

F.A.Q.

P: O que é uma ameaça interna?

R: Uma ameaça interna é uma ação intencional ou negligente de um agente interno privilegiado (funcionário ou terceiro com permissões de acesso) que compromete a segurança organizacional. Isso inclui tanto ações maliciosas deliberadas quanto violações de segurança acidentais causadas por negligência ou falta de treinamento.

P: Quanto custam as ameaças internas às empresas?

R: Segundo o Ponemon Institute, as ameaças internas geram um custo anual médio de US$ 17,4 milhões para as empresas. Isso é o dobro do valor de 2018, que foi de US$ 8,3 milhões, mostrando um aumento significativo no impacto financeiro desses incidentes.

P: Qual porcentagem das violações de dados envolve ameaças internas?

R: 65% dos incidentes envolvendo ameaças internas resultam de algum tipo de negligência do colaborador, enquanto 31% dos incidentes decorrem de ações propositais. Além disso, 62% dos incidentes resultam de erro humano ou uma conta comprometida.

P: Quais funcionários os cibercriminosos visam?

R: Os criminosos visam principalmente:

• Técnicos de TI com acesso a sistemas e arquitetura de rede
• Funcionários de instituições financeiras que podem facilitar transações fraudulentas ou criar contas falsas
• Prestadores de serviços e MSPs com acesso a sistemas e dados de clientes
• Funcionários do governo que podem acessar dados pessoais sensíveis ou fornecer infraestrutura confiável
• Qualquer pessoa com acesso privilegiado a sistemas sensíveis ou informações confidenciais

P: Como as ameaças internas diferem dos ataques cibernéticos externos?

R: As ameaças internas se originam de indivíduos que já possuem acesso legítimo aos sistemas organizacionais, tornando-as mais difíceis de detectar do que ataques externos. Esses insiders podem contornar muitos controles de segurança porque possuem credenciais autorizadas e conhecimento dos processos internos.

P: Quais são os sinais de alerta de uma potencial ameaça interna?

R: Os sinais de alerta incluem funcionários com dificuldades financeiras, problemas pessoais ou familiares, vícios, insatisfação com a organização, padrões incomuns de acesso a dados sensíveis ou tentativas de contornar protocolos de segurança.

P: Funcionários negligentes podem ser considerados ameaças internas?

R: Sim. Definições modernas de ameaças internas incluem tanto ações maliciosas intencionais quanto violações de segurança não intencionais causadas por negligência, falta de treinamento ou erros acidentais. O Departamento de Defesa dos Estados Unidos reconhece essa definição mais ampla que considera os funcionários dentro de todo o seu contexto humano.

P: Como as empresas podem prevenir ameaças internas?

R: As empresas podem mitigar ameaças internas implementando treinamento abrangente de funcionários, monitorando atividades de usuários, compreendendo métodos de recrutamento criminoso, estabelecendo políticas de segurança claras e usando inteligência de ameaças para identificar riscos potenciais antes que se materializem.